Sybersikkerhetsfirmaet Proofpoint har funnet bevis på at en produktiv nettkriminalitetsgruppe bruker populariteten til Netflix-hiten “Squid Game” for å spre Dridex-malware.
I et blogginnlegg sa Proofpoint at TA575 – en «stor aktør innen nettkriminalitet» – har sendt e-poster som utgir seg for å være noen som jobber på showet, og oppfordret folk til å laste ned ondsinnede vedlegg eller fylle ut skjemaer med sensitiv informasjon .
E-postene kommer med emnelinjer som sier ting som “Squid Game er tilbake, se ny sesong før noen andre”, “Inviter kunden til å få tilgang til den nye sesongen”, “Squid game new season commercials casting preview” og “Squid game planlagte sesongreklamer talentbesetning.”
Proofpoint sa at det fant tusenvis av e-poster ved hjelp av lokkemidler som var rettet mot en rekke bransjer i USA.
Noen av e-postene prøver å lokke ofre inn ved å si at de kan være med i showet hvis de laster ned dokumentet og fyller det ut.
“Vedleggene er Excel-dokumenter med makroer som, hvis de er aktivert, vil laste ned Dridex bank trojan affiliate id '22203' fra Discord URLs. Dridex er en produktiv bank trojan distribuert av flere tilknyttede selskaper som kan føre til datatyveri og installasjon av oppfølging. skadelig programvare som løsepenge,» skrev Proofpoint-forskerne Axel F og Selena Larson.
Proofpoint
Forskerne forklarte at selskapet har sporet TA575 siden slutten av 2020, og bemerket at gruppen vanligvis distribuerer Dridex gjennom “ondsinnede URL-er, Microsoft Office-vedlegg og passordbeskyttede filer.”
“I gjennomsnitt sender TA575 tusenvis av e-poster per kampanje som påvirker hundrevis av organisasjoner. TA575 bruker også Discord innholdsleveringsnettverk (CDN) for å være vert for og distribuere Dridex,” sa Proofpoint-forskerne, og la til at Discord har blitt en “populær vertstjeneste for malware. for nettkriminelle.”
Gjengen bruker en rekke lokker for å få ofre til å klikke på lenker eller laste ned dokumenter, og spiller ofte ut av popkulturen eller bruker fakturarelatert språk i e-poster.
Sherrod DeGrippo, visepresident for trusseldeteksjon og respons hos Proofpoint, fortalte ZDNet at Dridex er en banktrojaner som brukes til å stjele bankinformasjon. Skadevaren lar trusselaktøren ta penger direkte fra offerets bankkonto, sa DeGrippo.
“Men Dridex brukes også til informasjonsinnhenting eller som en malware-laster som kan føre til oppfølgende infeksjoner som løsepengevare,” la DeGrippo til.
Eksperter på nettsikkerhet som ThreatModeler-sjef Archie Agarwal sa at den kriminelle gruppen TA575 består av produktive, økonomisk motiverte opportunister som spesialiserer seg på Dridex-malware og driver deler av Cobalt Strike-servere.
Både Dridex-malware- og Cobalt Strike-serverne er eksempler på gjenbruk av andres arbeid, sa Agarwal, og forklarte at Dridex dateres tilbake til 2015 og var kjent for å spesialisere seg på banklegitimasjonstyveri.
“Å utnytte hot button-problemer og trender er modusen operandi for en slik gruppe som vil sende ut en mengde phishing-e-poster for å fange noen få intetanende sjeler i snaren deres,” sa Agarwal til ZDNet.
Gruppen er kjent for sine omfattende phishing-kampanjer rettet mot flere organisasjoner samtidig, ifølge Digital Shadows senior trusseletterretningsanalytiker Chris Morgan.
Mens Dridex opprinnelig ble brukt som en banktrojaner, har den blitt utviklet og tillater nå en rekke funksjoner, som bakdørstilgang til berørte nettverk og etterligning av e-postsender, forklarte Morgan.
“Skadevare kan også føre til installasjon av oppfølgende skadelig programvare og har tidligere blitt observert i takt med løsepengevareaktivitet,” sa Morgan. «Dridex deler kode overlapper med flere typer løsepengeprogramvare, inkludert «Grief», «DopplePaymer», «WastedLocker» og «Macaw». Det er sannsynlig at flere av disse løsepengevarefamiliene ble utviklet av det samme teamet som er ansvarlig for Dridex skadevare.”
Hank Schless, seniorleder for sikkerhetsløsninger i Lookout, sa at gjennom COVID-19-pandemien brukte nettkriminelle en rekke kroker relatert til vaksinen eller statlig bistand som lokkemiddel for e-poster med ondsinnede vedlegg.
Schless forklarte at Lookout-data viser at trusselaktører er sterkt rettet mot brukere gjennom mobilkanaler som SMS, sosiale medieplattformer, tredjeparts meldingsapper, spill og til og med datingapper. Han la til at en av de mest interessante delene av rapporten er at TA575 bruker Discord CDN for å være vert for og levere skadelig programvare.
“Denne praksisen med å bruke legitime tjenester som en mellomliggende kommando- og kontrollserver blir stadig mer vanlig. Vi ser det ofte også med datalagringsplattformer som Dropbox. Angripere gjør dette fordi det kan hjelpe dem å gli forbi eventuelle oppdagelser lettere hvis trafikken ser ut. legitimt,” sa Schless.
“Squid Games har blitt et enormt populært show, så å friste folk med muligheten til å se sesong to tidlig eller bli kastet inn i den er nok til i det minste å få et mål for å åpne budskapet.”
Sikkerhet
Hackere fikk på en eller annen måte rootsettet sitt en Microsoft-utstedt digital signatur. Dette monsteret av en phishing-kampanje er ute etter passordene dine SolarWinds hackere Nobelium for å slå globale IT-forsyningskjeder igjen, advarer Microsoft Hackere er skjuler deres ondsinnede JavaScript-kode med et vanskelig triks Microsoft Teams: Videosamtalene dine har nettopp fått et stort sikkerhetsløft. Cybersecurity 101: Beskytt personvernet ditt mot hackere, spioner, myndighetene Banking | Sikkerhets-TV | Databehandling | CXO | Datasentre